Данные о тысячах идентификаторов стали доступны для поиска в Google
Министерство иностранных дел Филиппин отключило свой портал отслеживания заявлений на паспорт после сообщения о том, что данные тысяч заявителей каким-то образом стали видны в поиске Google.
В утверждение На своем веб-сайте Министерство иностранных дел (DFA) заявило в среду, что отключило онлайн-трекер паспортов и все его источники, чтобы «избежать дальнейшей трансляции данных».
Портал, который был запущен в сентябре и еще не работал в пятницу, позволяет заявителям просматривать статус своей заявки на паспорт. DFA заявило, что его ИТ-отдел расследует, как произошел инцидент, добавив, что будет проведен внутренний аудит для предотвращения повторных инцидентов.
По сообщениям местных СМИ, за утечкой информации, позволяющей установить личность тысяч пользователей, была «проблема неправильной конфигурации». Газета Manila Bulletin сообщила во вторник, что с ней связался человек, который наткнулся на данные во время поиска в Google.
После нажатия на результат поиска человек, как сообщается, был перенаправлен на пустую форму системы отслеживания портала. Он сообщил газете, что проблема конфиденциальности, по всей видимости, возникла из-за того, что разработчики «жестко закодировали» конфиденциальную информацию, что позволило любому получить доступ к данным с помощью обычного веб-браузера.
Этот человек также раскритиковал разработчиков за то, что они явно использовали электронные таблицы Microsoft Excel в качестве базы данных, что, по мнению Manila Bulletin, не является «разумной практикой программирования». Другой проблемой, поднятой в документе, было включение общедоступного ключа аутентификации, который позволял любому получить доступ к данным в электронных таблицах.
Помимо предупреждения DFA, газета сообщила, что уведомила Национальную комиссию по конфиденциальности страны о возможной крупномасштабной утечке данных. В заявлении DFA говорится, что он работает со сторожевым псом, чтобы решить эту проблему.
В мае средства массовой информации сообщили, что около 345 000 конфиденциальных судебных документов из филиппинского офиса генерального солиситора были в свободном доступе в Интернете в течение как минимум двух месяцев. Сообщается, что к этой информации «мог получить доступ любой, кто знал, где искать».
